可用性

Yubico AES 模式仅适用于 yubikey。设备返回一个需要解密的长数据结构。

HOTP 返回一个 6 或 8 位代码。该算法使用截断来形成数字代码。创建数字代码以便用户能够读取代码并将代码键入键盘。

因此：使用 Yubico AES 模式，您需要有一个设备来创建和输入一次性密码，而使用 HOTP，您始终可以依赖键盘。

同步

Yubico AES 模式增加了两个计数器。一个插头计数器和一个使用计数器。该数据被加密，然后发送加密值进行验证。在这种情况下，验证意味着加密值被解密，然后服务器验证发送的计数器是否大于服务器看到的最后一个计数器。

在 HOTP 模式下，OTP 值是根据计数器计算的。服务器需要执行与 OTP 令牌相同的操作。这就是为什么你有这个窗口的东西。可以在没有将值发送到服务器的情况下按下令牌。服务器知道它看到的最后一个值 (counter=n)。但它不知道在 OTP 令牌上执行了多少次空白印刷。所以服务器需要 //try// n+1, n+2...

HOTP 令牌可能会“不同步”。Yubico AES 模式不能。

标准

Yubico AES 模式有据可查。但它仅由 Yubikey 实现。HOTP 在 RFC 4226 中标准化。

密码学

好吧，别问我。我想 AES 和 HMAC-SHA1 都是强大的算法......

...现在您可以决定哪个方面是pro哪个方面是cons。通常归结为可用性和是否有 USB 端口的问题。yubikey 是少数可以初始化的硬件令牌之一，因此您可以控制您的密钥材料。使用开源后端lile privacyIDEA注册和管理令牌。